L'agent léger est installé sur le système d'exploitation invité de machine virtuelle et détecte les détails de l'activité utilisateur.

Chemin du journal et exemple de message

L'agent léger se compose de pilotes GI : vsepflt.sys, vnetwfp.sys (Windows 10 et versions ultérieures).

Les journaux de l'agent léger se trouvent sur l'hôte ESXi, dans le cadre du bundle de journaux vCenter. Le chemin du journal est /vmfs/volumes/<datastore>/<vmname>/vmware.log. Par exemple : /vmfs/volumes/5978d759-56c31014-53b6-1866abaace386/Windows10-(64-bit)/vmware.log

Les messages de l'agent léger suivent le format <timestamp> <VM Name><Process Name><[PID]>: <message>.

Dans l'exemple de journal ci-dessous, Guest: vnet or Guest:vsep indique les messages de journal liés aux pilotes GI respectifs, suivis de messages de débogage.

Par exemple : 
2017-10-17T14:25:19.877Z| vcpu-0| I125: Guest: vnet: AUDIT: DriverEntry :
 vnetFilter build-4325502 loaded
2017-10-17T14:25:20.282Z| vcpu-0| I125: Guest: vsep: 
AUDIT: VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T14:25:20.375Z| vcpu-0| I125: 
Guest: vsep: AUDIT: DriverEntry : vfileFilter build-4286645 loaded
 
2017-10-17T18:22:35.924Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileSocketMgrConnectHelper : Mux is connected
2017-10-17T18:24:05.258Z| vcpu-0| I125: Guest: vsep: AUDIT: 
VFileFltPostOpCreate : File (\Windows\System32\Tasks\Microsoft\Windows\
SoftwareProtectionPlatform\SvcRestartTask) in a transaction, ignore

Activation de la journalisation du pilote de l'agent léger Plate-forme NSX Guest Introspection

Comme le paramètre de débogage peut saturer le fichier vmware.log jusqu'à la limite, nous vous recommandons de désactiver le mode de débogage dès que vous avez collecté toutes les informations requises.

Cette procédure vous oblige à modifier le Registre Windows. Avant de modifier le Registre, veillez à en faire une sauvegarde. Pour plus d'informations sur la sauvegarde et la restauration du Registre, consultez l'article 136393 de la base de connaissances de Microsoft.

  1. Cliquez sur Démarrer > Exécuter. Entrez regedit et cliquez sur OK. La fenêtre Éditeur du Registre s'ouvre. Pour plus d'informations, consultez l'article 256986 de la base de connaissances de Microsoft.

  2. Créez cette clé à l'aide de l'éditeur du Registre : HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\services\vsepflt\parameters.
  3. Sous la clé de paramètre qui vient d'être créée, créez ces valeurs de type DWORD. Assurez-vous que hexadécimal est sélectionné lorsque vous entrez ces valeurs : 
    Name: log_dest
Type: DWORD
Value: 0x2

Name: log_level
Type: DWORD
Value: 0x10

    Autres valeurs pour la clé de paramètre log level : 

    Audit 0x1
Error 0x2
Warn 0x4
Info 0x8
Debug 0x10
  4. Ouvrez une invite de commande en tant qu'administrateur. Exécutez ces commandes pour décharger et recharger le mini-pilote du système de fichiers du point de terminaison NSX :
    • fltmc unload vsepflt
    • fltmc load vsepflt

    Les entrées de journal se trouvent dans le fichier vmware.log situé dans la machine virtuelle.

Activation de la journalisation du pilote Plate-forme NSX Guest Introspection

Comme le paramètre de débogage peut saturer le fichier vmware.log jusqu'à la limite, nous vous recommandons de désactiver le mode de débogage dès que vous avez collecté toutes les informations requises.

Cette procédure vous oblige à modifier le Registre Windows. Avant de modifier le Registre, veillez à en faire une sauvegarde. Pour plus d'informations sur la sauvegarde et la restauration du Registre, consultez l'article  136393 de la base de connaissances de Microsoft.
  1. Cliquez sur Démarrer > Exécuter. Entrez regedit et cliquez sur OK. La fenêtre Éditeur du Registre s'ouvre. Pour plus d'informations, consultez l'article 256986 de la base de connaissances de Microsoft.
  2. Modifiez le Registre : 
    Windows Registry Editor Version 5.0 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnetwfp\Parameters] 
"log_level" = DWORD: 0x0000001F
"log_dest"  = DWORD: 0x00000001
  3. Redémarrez la machine virtuelle.

Emplacement du fichier journal vsepflt.sys

Avec les paramètres de Registre log_dest DWORD: 0x00000001, le pilote de l'agent léger de point de terminaison se connecte au débogueur. Exécutez le débogueur (DbgView depuis SysInternals ou windbg) pour capturer la sortie de débogage.

Vous pouvez également définir le paramètre de Registre log_dest sur DWORD:0x000000002. Dans ce cas, les journaux de pilote seront imprimés dans le fichier vmware.log, qui se trouve dans le dossier de machine virtuelle correspondant sur l'hôte ESXi.

Activation de la journalisation d'UMC

Le composant en mode utilisateur (UMC) de protection de point de terminaison s'exécute dans le service VMware Tools sur la machine virtuelle protégée.

  1. Sous Windows XP et Windows Server 2003, créez un fichier tools config, s'il n'existe pas dans le chemin suivant :C:\Documents and Settings\All Users\Application Data\VMware\VMware Tools\tools.conf.
  2. Sous Windows Vista, Windows 7 et Windows Server 2008, créez un fichier tools config, s'il n'existe pas dans le chemin suivant : C:\ProgramData\VMWare\VMware Tools\tools.conf
  3. Ajoutez ces lignes dans le fichier tools.conf pour activer la journalisation de composant UMC. 
    [logging]
log = true
vsep.level = debug
vsep.handler = vmx

    Avec le paramètre vsep.handler = vmx , le composant UMC se connecte au fichier vmware.log , qui se trouve dans le dossier de machine virtuelle correspondant sur l'hôte ESXi.

    Avec les journaux de paramètre suivants, les journaux de composant UMC sont imprimés dans le fichier journal spécifié. 

    vsep.handler = file
vsep.data = c:/path/to/vsep.log

Dépannage de l'agent léger sur Windows

  1. Vérifiez la compatibilité de tous les composants concernés. Vous avez besoin des numéros de build pour ESXi, vCenter Server, NSX Manager et la solution de sécurité que vous avez sélectionnée (par exemple, Trend Micro, McAfee, Kaspersky ou Symantec). Une fois ces données collectées, vous pouvez comparer la compatibilité des composants vSphere. Pour plus d'informations, consultez les Matrices d'interopérabilité des produits VMware.
  2. Vérifiez que VMware Tools™ est à jour. Si vous voyez qu'une seule machine virtuelle en particulier est affectée, consultez l'article Installing and upgrading VMware Tools in vSphere (2004754) (Installation et mise à niveau de VMware Tools dans vSphere).
  3. Vérifiez que l'agent léger est chargé en exécutant la commande PowerShell fltmc.

    Verify que vsepflt est inclus dans la liste des pilotes. Si le pilote n'est pas chargé, essayez de le charger avec la commande fltmc load vsepflt.

  4. Si l'agent léger pose un problème de performances avec le système, déchargez le pilote avec cette commande : fltmc unload vsepflt.

  5. Puis effectuez un test pour obtenir une ligne de base. Vous pouvez ensuite charger le pilote et effectuer un autre test en exécutant cette commande :

    fltmc load vsepflt.

    Si vous constatez qu'il existe un problème de performances avec l'agent léger, consultez l'article Slow VMs after upgrading VMware Tools in NSX and vCloud Networking and Security (2144236) (Lenteur des VM après la mise à niveau de VMware Tools dans NSX et vCloud Networking and Security).

  6. Si vous n'utilisez pas l'introspection réseau, supprimez ou désactivez ce pilote.

    L'introspection réseau peut également être supprimée par le biais du programme d'installation Modifier VMware Tools :
    1. Montez le programme d'installation de VMware Tools.
    2. Accédez à Panneau de configuration > Programmes et fonctionnalités.
    3. Cliquez avec le bouton droit sur VMware Tools > Modifier.
    4. Sélectionnez Installation complète.
    5. Recherchez l'introspection de fichier NSX. Un sous-dossier pour l'introspection réseau s'y trouve.
    6. Désactivez Introspection réseau.
    7. Redémarrez la machine virtuelle pour terminer la désinstallation du pilote.
  7. Activez la journalisation de débogage pour l'agent léger. Toutes les informations de débogage sont configurées pour s'enregistrer dans le fichier vmware.log pour cette machine virtuelle.
  8. Consultez les analyses de fichier de l'agent léger en consultant les journaux procmon. Pour plus d'informations, consultez l'article Troubleshooting vShield Endpoint performance issues with anti-virus software (2094239) (Dépannage des problèmes de performances de vShield Endpoint avec un logiciel antivirus).

Dépannage des blocages de l'agent léger sous Windows

Si l'agent léger se bloque, le fichier de base est généré dans /directory. Collectez le fichier de vidage de mémoire (core) depuis location / directory.